Включение в веб страницу файлов изображений или других ресурсов с чужого сервера

Обновлено: 04.07.2024

Несколько примеров использования файла .htaccess

Почему несколько? Потому, что вариантов внесения изменений в данный файл очень много, некоторые из них необходимы и полезны, а без других можно легко обойтись или заменить их использованием скриптов и плагинов. Поэтому здесь я представлю варианты внесения дополнений, которые использую на своем сайте, так сказать проверенные и «испытанные на себе». Во вновь установленном WordPress файл .htaccess в корневой папке сайта по умолчанию имеет следующий вид:

Прежде, чем делать изменения в файле .htaccess, сохраните резервную копию оригинала на случай внесения некорректных данных.

Задание кодировки файлов на сервере

При помощи этой записи можно задавать кодировку в отдельных директориях (папках и подпапках), отличную от основной кодировки сайта. Например, сайт имеет кодировку utf-8, а Вы скачали скрипт гостевой книги в кодировке windows-1251 и если Вы закачаете папку с гостевой книгой в корневую директорию своего сайта, при попытке её просмотра, браузер выдаст Вам так называемые «кракозябры». Но, если внутри папки с гостевой книгой поместить файл .htaccess с принудительной кодировкой windows-1251, всё станет на свои места. И не нужно пытаться перекодировать скрипты или что-то ещё выдумывать. Ваш установленный скрипт заработает корректно. Кодировка в файле .htaccess записывается следующим образом:

Блокировка хотлинков с других сайтов

Хотлинк (hotlink) — включение в web-страницу файлов изображений или других ресурсов с чужого сервера. То есть, представьте себе ситуацию, что нашелся человек, один, два, а при хорошей посещаемости сайта, может быть и сотни, которые будут использовать ваши ссылки на изображения, экономя собственный трафик. Картинки будут появляться на их сайтах, но грузиться будут, соответственно, с вашего. Это создаст большую нагрузку на сервер и, как следствие, замедлит работу вашего сайта. Для предотвращения такого безобразия, используем этот код:

Запрет доступа к файлу wp-config.php

Защита самого файла .htaccess

Как ни странно, но можно сделать и такой «ход конём»:

Запрет доступа к определенным файлам

Файлы js и css мы уже защищали в хотлинке картинок, но, можно сделать и таким образом:

301 редирект для слияния страниц с www и без (склейка домена)

В Google: Вебмастер → выбираем сайт → Настройки (изображение шестереночки, справа вверху) → Настройки сайта . Выбираем предпочтительный вариант:

Кэширование файлов

Кэширование ускорит загрузку Вашего сайта. Для решения этой задачи можно воспользоваться модулем headers web-сервера Apache. Суть в этом случае сводится к тому, чтобы заставить браузер загрузить редкоизменяемые данные с сервера в локальный кэш всего один раз, а далее при заходе на сайт, использовать данные из кэша. Для включения кэширования добавляем код:

Вы можете добавить новые или удалить некоторые типы файлов. Можно использовать max-age, чтобы указать время хранения ваших файлов в кэше в секундах.

Включение Gzip сжатия файлов

Можно сжимать все файлы сайта с помощью GZIP. Одним из лучших способов сжатия является использование модулей mod_deflate или mod_gzip . Они используются для автоматического сжатия всех файлов HTML, CSS, JavaScript и XML. В данном примере представлен более современный модуль mod_deflate :

Некоторые хостеры включают сжатие, только по запросу пользователей!

Блокировка по IP

Если нужно закрыть доступ к сайту определенному пользователю, например, за нарушение правил, Вы можете заблокировать его по IP адресу. Допускается массовая блокировка пользователей. Для добавления нового IP дублируйте строку deny from , заменяя IP адреса:

Также можно блокировать целую подсеть IP адресов 012.34.5. В примере не пишется последнее число, тем самым отсекается доступ для диапазона 012.34.5. 0 — 012.34.5. 255.

Запрет просмотра сайта определенными User-Agent

Здесь так же следует отметить, что блокирование нежелательных User-Agent может осуществлять плагин All inOne SEO Pack, в случае, если в настройках будет активирован Блокировщик вредных ботов . Здесь у Вас тоже есть право выбора.

Вот такая подборка у меня получилась. Это не конечный перечень вариантов дополнений в файл .htaccess. Существует ещё множество разновидностей задач, которые он способен решать. Ну, а мы на этой позитивной ноте закончим знакомство с поистине замечательным файлом .htaccess.
Пока. Л.М.

Второй способ основывается на актуальной судебной практике США, поскольку это самая оперативная юрисдикция в части разрешения споров о новых формах и сферах использования произведений. К тому же, все крупнейшие социальные сети находятся в юрисдикции США, а в условиях пользования их сервисами, и применимое право, и суд – тоже в США.

Вывод суда – предоставление таких HTML-ссылок не тождественно размещению чужого фото по двум причинам:

HTML-ссылка представляет собой строчки текста, а не фотографическое произведение;

HTML-ссылка сама по себе не является причиной появления чужих изображений на экране компьютера пользователя. Ссылка сообщает браузеру пользователя адрес, где размещена картинка, и лишь взаимодействие браузера пользователя с компьютером (сервером), который хранит чужое фото, приводит к распространению чужих произведений."

пс.ссылка на фото взята из открытого профиля вконтакте, и отражается на странице,где поставлена.

Живу в стране Развитого Идиотизма. Настоящие россияне - идиоты, которые помогают всем. И эти "все" потом на них срут. Мы - идиоты.

Ага. Только например в РФ, суды не считают Интернет - открытым источником (если кто то, выложил, что то в Интернет, это вовсе не означает, что брать могут все). И есть такое слово как - "использование". Которое можно широко трактовать.

Так что в РФ, принцип прост - можно использовать только то, что - разрешили. Потому что вы не знаете, а есть ли разрешение у того, на кого вы ссылаетесь. А виноваты будут все кого поймают, исключений не будет.

Речь не обо мне. Фото человека,журналиста.Закон РФ говорит о "публичных людях" - журналист, вроде бы, попадает под этот определение. А ссылка на фото - это не фото;)

В РФ нарушением авторских прав является использование объекта защищенного АП, независимо от способа использования.

Не публикация, а использование.

Marta Max:
Речь идет о таком способе размещения чужих веб-страниц как in-line linking, известный также, как хотлинк (включение в веб-страницу файлов/изображений или других ресурсов с чужого сервера). Вместо воспроизведения чужой картинки, при помощи HTML-протокола через браузер ссылка направляет пользователя к веб-сайту, на котором размещена/воспроизведена искомая картинка.

Если на картинка на сайте отображается (а при хотлинке так оно и есть), значит она на нем используется.

Solmyr:
В РФ нарушением авторских прав является использование объекта защищенного АП, независимо от способа использования.

В законе термин "использование" имеет не обще-обывательское значение, а конкретный определенный список значений.

Какой конкретный вид использования картинки вы предлагаете применить? Я ответа на вопрос не знаю. В технической плоскости происходит загрузка изображения в браузер посетителя напрямую с сервера правообладателя, но в контексте вашего сайта. В широком смысле я склоняюсь, что нарушение всё же есть, но есть и аргументы для защиты в суде, если удастся всё рассмотрение свести в техническую плоскость.

Смотрите решение судьи Хатыповой, а именно со стр. 3.

Решение осталось в силе.

ivanbardov:
Смотрите решение судьи Хатыповой, а именно со стр. 3.

Весьма сомнительные аргументы даже в технической плоскости там приведены. Например, как модуль апача mod_rewrite может автоматически модифицировать изображения я не понимаю. Хорошо, там упомянут пхп. Да, сторонний сервер может автоматом обрезать изображения, но. автоматом подставлять логотип нарушителя без его ведома. Это как? Короче, я бы не опирался на такие "аргументы". Да и в этом деле истец не смог доказать, что он является правообладателем. Остальное всё уже второстепенно.

Это совершенно не относится к обсуждаемому вопросу, так как дело далее по существу не рассматривалось, а похерилось по причине пропуска истцом срока подачи апелляции и далее решения касались отказа в восстановлении этого срока, как я понял.

borisd:
Весьма сомнительные аргументы даже в технической плоскости там приведены.

Судья - не специалист в техническом плане и ссылается в решении, скорее всего, на текст экспертизы или иных пояснений.

borisd:
Да и в этом деле истец не смог доказать, что он является правообладателем. Остальное всё уже второстепенно.

Судья дала оценку доказательствам факта использования ответчиком произведений и выразила позицию суда.

Пусть для Вас это будет второстепенно и вообще нисколько не значимо - мне Вас переубеждать нет нужды.

borisd:
Это совершенно не относится к обсуждаемому вопросу, так как дело далее по существу не рассматривалось, а похерилось по причине пропуска истцом срока подачи апелляции и далее решения касались отказа в восстановлении этого срока, как я понял.

Верно, но Вы же не оспариваете того, что решение осталось в силе?

Задевшее Вас предложение написано во избежание спекуляций на тему "зачем ссылаться на решение, там могли его 100 раз отменить и т.п.".

ivanbardov, очень трудно было процитировать здесь? Хотя бы основные тезисы.

А то при заходе:

Доступ к сервису ограничен!
Если вы видите эту страницу, значит с вашего IP-адреса
поступило необычно много запросов.

Фома:
ivanbardov, очень трудно было процитировать здесь? Хотя бы основные тезисы.

А то при заходе:

В этом виноват Ваш провайдер (или VPN, или плагин браузера).

Доказательств того, что ответчик разместил спорные фотографии на своих серверах, представлено не было. Из нотариального протокола следует, что спорные фотографии доступны в Интернете, однако осмотр не идентифицирует, на чьем именно сервере размещены спорные фотографии, соответственно, нельзя сделать вывод о том, кто именно доводит фотографию до всеобщего сведения.

Истец доказательств принадлежности указанных серверов ответчику ООО «Клуб путешествий ПЕРСОНА» не привел.

ООО «Новотелеком» лишь предоставляет возможность использования Интернет ресурса, а ответственность за его содержимое (которым является в данном случае сайт) несет организация, осуществляющая производство и выпуск СМИ.

Обзоры

Тысячи веб-сайтов взламываются каждый день из-за неверной конфигурации или уязвимого кода.

Если ваш веб-сайт доступен в интернете, вы можете использовать онлайновые инструменты, чтобы отсканировать веб-сайт на наличие уязвимостей, чтобы понять, насколько безопасен ваш веб-сайт.

Не волнуйтесь, если у вас интранет сайт, вы можете использовать сканера Nikto, также опен соурсный.

Коммерческие WAF, как правило, дорогие и если вы хотите бесплатно защитить ваш веб-сайт, используя WAF, тогда следующие решения с открытым исходным кодом могут быть вам полезными.

1. ModSecurity

Бесплатные правила ModSecurity будут полезны в том случае, если вы хотите защититься от:

• Cross-site scripting [ XSS ] • Trojan
• Утечка информации
• SQL injection
• Общие веб-атаки
• Вредоносные действия

У ModSecurity нет графического интерфейса.

Если вы хотите вэб-интерфейс, вы можете рассмотреть использование WAF-FLE.

Оно позволит вам сохранять, искать и просматривать события в консоли.

Скриншоты программы WAF-FLE:

2. IronBee

IronBee еще не доступен в бинарном пакете, таким образом,чтобы его использовать, необходимо скомпилировать его из источника и протестирован он на следующих ОС:

• CentOS
• Fedora
• Ubuntu
• OS X

3. NAXSI

Из самого названия вы можете предположить, что этот продукт только для веб-сервера Nginx, и, главным образом, предназначается для того, чтобы защитить от XSS атак и атак с использованием кода на SQL.

4. WebKnight

WebKnight WAF для Microsoft IIS.

WebKnight предназначен для обеспечения безопасности от следующих атак:

• Переполнение буфера
• Возможность обхода корневой директории
• Кодировка символов
• Инъекция SQL
• Блокирование плохих роботов
• Включение в веб-страницу файлов-изображений или других ресурсов с чужого сервера
• Брутфорс

WebKnight 3.0 получил админиский веб-интерфейс, где вы можете настроить правила и выполнить задачи администрирования, включая просмотр статистики.

5. Shadow Daemon

Shadow Daemon обнаруживает, записывает и предотвращает веб-атаки, фильтруя запрос по вредоносным параметрам.

Он идет с собственным интерфейсом, где вы можете выполнить администрирование и управлять этим WAF.

Он поддерживает языки PHP, Perl & Python.

Он может обнаружить следующие атаки:

• Инъекция SQL
• Инъекция XML
• Инъекция кода
• Командная инъекция
• XSS
• Backdoor доступ
• Локальное/удаленное включение файла

Программы с открытым исходным кодом бесплатны, но вы тем самым не получаете средства поддержки и должны полагаться на свои знания и опыт или же общественную поддержку.

Если вы все таки ищете коммерческие WAF, можно обратить внимание на следующее:

CloudFlare (cloud-based)
Incapsula (cloud-based)
F5 ASM
TrustWave ModSecurity commercial rules
SUCURI (cloud-based)
Akeeba Admin tools (для Joomla)